нет желания передавать шифрованый пароль при авторизации через auth.p?

Larrikin 09.05.2004 21:53

самому лень это каждый раз делать, может класс нарастите?

смысл очень простой - при формировании формочки авторизации также передается случайный код (К)
на сервере хранится отпечаток (для простоты возьмем как будто MD5)
когда юзер в форме вводит пароль (П), java скрипт его кодирует так:
md5(К+MD5(П)) и передает серверу... сервер делает md5(К+уже_кодированый_из_базы) и принимает решение - совпало или нет...

смысл в том, что перехватить траффик от сервера к клиенту труднее, чем от клиента серверу (у нас, по крайнем мере), так как на роутере таблица mac задана жестко и не поддается примитвным ARP poisoning атакам... а от пользователя идет уже зашифрованый каждый раз по-другому пароль... сессию, конечно, перехватить можно все равно, если постараться, но зато пароль не будет засвечен в сети... да и даже если перехватит он этот К - ему это не сильно поможет...

---